一个恶意广告活动致使两万 CMS 网站被攻击……

xiaohui 新闻 2018年1月26日发布

导语:CSE CybSec ZLab 实验室的研究人员近期发现了一个大规模的恶意广告攻击活动,他们已将其定义为EvilTraffic,即恶意流量的意思。

u=1374689068,1024689698&fm=27&gp=0.jpg

CSE CybSec ZLab 实验室的研究人员近期发现了一个大规模的恶意广告攻击活动,他们已将其定义为EvilTraffic,即恶意流量的意思。研究人员发现,EvilTraffic利用一些CMS漏洞上传和执行任意PHP页面,从而通过广告为自己谋利。在2017年的年末,CSE Cybsec ZLab的研究人员就观察到这一活动。

研究人员发现,此次EvilTraffic活动所选择的攻击网站都是使用各种版本的WordPress CMS网站。一旦网站被攻击,攻击者将上传一个包含恶意文件的“zip”文件。虽然“zip”文件的名称会因攻击的设备而异,但是在未压缩时,这些“zip”文件所包含的恶意文件都具有相同的结构。不过目前,在研究人员发现的“zip”文件样本中,还有一些没有被使用。这样,研究人员就可以对它们进行深入的分析。

比如,研究人员所发现的一个恶意文件,它会在各CMS版本中被包含在不同的文件夹中,比如“vomiu”, “blsnxw”, “yrpowe”, “hkfoeyw”, “aqkei”, “xbiret”, “slvkty”。

在这个文件夹下有:

1.一个名为“lerbim.php”的php文件;
2.一个php文件,与父目录具有相同的名称,它最初只有“.suspected”扩展名,只有在第二次使用“lerbim.php”文件的时候才会在“.php”文件中被修改;
3.两个名为“wtuds”和“sotpie”的目录,包含一系列文件。

下图就是该文件的一个结构示意:

1.png

EvilTraffic活动中使用的恶意软件的主要目的是:通过至少两台产生广告流量的服务器触发重定向链,“{malw_name} .php”是触发攻击的核心文件,如果用户通过网页浏览器打开它,它首先会将流量重定向到“ caforyn.pw ”,然后再重定向到 “ hitcpm.com ”,这样就可以充当一个不同的网站注册到这个收入链的调度员。

2.png

这些网站可能被攻击者用来增加客户流量,但这种流量是以非法的方式通过攻击网站而产生的。这些网站也可能托管冒充下载可疑内容(即工具栏,浏览器扩展或假防病毒)或窃取敏感数据(即信用卡信息)的欺诈页面。

由于攻击者是通过广告流量来获利的,所以这就决定了攻击者在选择目标网站时,一定要选择知名度较高的网站。因此,网站在搜索引擎上的排名就成了一个非常重要的参考指标。所以恶意软件就会通过利用包含热点搜索词的词汇表来执行SEO攻击。

通过路径 “{malw_name}/{malw_name}.php?vm={keyword}”,使用特定的User-Agent触发与主要PHP联系的包含词表及其相关查询结果的被入侵网站的人口。目前,CSE CybSec ZLab的研究人员发现了大约18100个网站受到感染。

当研究人员分析EvilTraffic的恶意广告活动时,他们发现,在攻击刚开始的前几个星期内所攻击的网站目前都对EvilTraffic采取了相应的措施。仅在一周之内,受影响的网站数量从35万个下降到18万个左右。

根据Alexa流量排名,hitcpm.com排名世界第132位,占全球互联网用户访问量的0.2367%。以下就是hypestat.com提供的hitcpm.com的一些流量统计

3.jpg

流量分析显示2017年10月份的流量呈指数增长,专家发现,EvilTraffic攻击背后的攻击者使用了各种劫持流量的办法来最大化广告利益,例如:

1.附件垃圾邮件;
2.通过不可靠的网站下载免费程序;
3.打开torrent文件并点击恶意链接;
4.通过玩网络游戏;
5.通过访问被入侵的网站。

总之恶意软件的主要目的是劫持网页浏览器,改变诸如DNS,设置,主页等浏览器设置,以便尽可能多地将流量重定向到调度站点。

关于CSE CybSec ZLab 实验室的详细研究报告,你可以点击以下链接:

http://csecybsec.com/download/zlab/20180121_CSE_Massive_Malvertising_Report.pdf

如若转载,请注明原文地址: http://www.4hou.com/info/news/10094.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论